En estos días hemos visto a los todistas habituales regurgitar eslóganes, clichés y lugares comunes sobre el supuesto espionaje a teléfonos móviles de personajes del secesionismo catalán. Y también a los terminales del presidente del Gobierno y la ministra de Defensa.
Un poco de contexto: Primero, sobre el tipo de la posible intervención. Se trataría de intervenciones selectivas individuales, no fruto de ninguna operación de vigilancia masiva, como las que realizan organizaciones de inteligencia para, siguiendo por ejemplo palabras o expresiones clave en el océano de datos intercambiados electrónicamente, identificar posibles amenazas.
Estas intervenciones se pueden ejecutar de modo legal, si las realizan las Fuerzas de Seguridad del Estado siguiendo la legislación (en CNI, que tiene un magistrado dedicado, siempre con mandato judicial), o de modo ilegal.
Este tipo de operaciones se pueden realizar utilizando el apoyo y el software de las aproximadamente 140 compañías reguladas en todo el mundo en jurisdicciones homologables. Pero también se pueden perpetrar desde jurisdicciones “laxas” (Chipre, EAU, Singapur…), por hackers que se alquilen al mejor postor (muchos en India o Ucrania) o por gobiernos que no se atengan a regla alguna, como el ruso o el chino.
Es difícil disociar las campañas contra Pegasus de los ataques al Estado Judío desde ciertas posiciones ideológicas o intereses nacionales
Entre el griterío imperante en estos días, se apunta al software Pegasus, desarrollado por la empresa israelí NSO. El origen israelí del programa en este escándalo es tan relevante como la nacionalidad de la marca de un coche involucrado en un atropello. En realidad, sólo lo es para el que quiera sacar a pasear su fijación obsesiva y enfermiza contra Israel, se llame Pablo Echenique, Gonzalo Boyé o Amnistía Internacional. Es difícil disociar las campañas contra Pegasus de los ataques al Estado Judío desde ciertas posiciones ideológicas o intereses nacionales. A algunos no les acaba de hacer gracia que haya herramientas que de modo legal protejan nuestro orden constitucional, vigilen al golpismo o luchen contra el yihadismo en España. Y que esas herramientas las facilite Israel.
Sin embargo, si de verdad se tratara de Pegasus, podríamos saber que el acceso a él ha estado sujeto a una serie de salvaguardas: NSO es una entidad regulada. Cualquier venta de Pegasus, de hecho, cualquier actividad de marketing del mismo por NSO, debe ser aprobada y con las licencias de exportación pertinentes en regla, pues el producto es considerado como un cyber-arma por las autoridades israelíes.
El programa es caro y la vigilancia individualizada hace que las agencias sean muy selectivas y sólo controlen en cada caso unas decenas de terminales
NSO sólo trabaja con gobiernos y agencias de seguridad estatales de unos 40 países y el proceso de cribado de las aplicaciones es riguroso. Parece que se ha denegado la venta al menos a 90 gobiernos. El programa es caro y la vigilancia individualizada hace que las agencias sean muy selectivas y sólo controlen en cada caso unas decenas de terminales. En este momento es más probable que en todo el mundo sólo haya unos cuantos miles de teléfonos controlados por Pegasus. Es importante aclarar que NSO casi nunca opera el programa. Vende una licencia. Pero mantiene un registro del uso que cada cliente le ha dado y si detecta graves infracciones en las condiciones de utilización puede desconectar el programa. Algo que parece que ha sucedido en alguna ocasión.
Por tanto, a utilización legítima o no del software es responsabilidad del usuario. Y, siendo indudable que el producto de NSO ha sido clave en el desmantelamiento de organizaciones criminales y en la desactivación de graves amenazas terroristas, si alguno de sus clientes lo ha usado de un modo ilegítimo, como en el ejemplo anterior del coche, es a este al que debemos pedir cuentas.
De entre todos los softwares maliciosos para espiar móviles inteligentes, Pegasus es de los más sofisticados y el preferido por gobiernos y sus agencias. Es difícil de detectar y tiene un recorrido de largo plazo pues permite “disparar y olvidar”, sin un mantenimiento activo necesario.
Los analistas de servicios de inteligencia utilizarán múltiples herramientas, entre ellas el conocido como análisis de diamante, que contempla el estudio de eventos relacionados con el posible adversario
Para comprender quién podría haber usado Pegasus contra Pedro Sánchez, los analistas de servicios de inteligencia utilizarán múltiples herramientas, entre ellas el conocido como análisis de diamante, que contempla el estudio de eventos relacionados con el posible adversario, la infraestructura utilizada, la capacidad de manejar una herramienta así y la motivación para seleccionar a esa víctima en particular… Y así, muy seguramente, habrán llegado a la conclusión de que ha sido Marruecos. Más, si se considera que este país ya fue acusado de algo similar con el posible hackeo de teléfonos de miembros del gobierno francés, incluido el del presidente Macrón.
Tampoco debemos rasgarnos las vestiduras con que los servicios de inteligencia usen estas herramientas para tratar de recopilar información sobre actores que consideran una amenaza, sea Marruecos o sea España. Poniendo en la balanza, claro, el riesgo de ser descubiertos y sus consecuencias.
¿Y por qué no Rusia? A ese país le interesan datos relacionados con la política de defensa, en particular en lo que respecta a la OTAN o con la política europea. Para obtener esos planes detallados y específicos, Rusia ha tenido preferencia por intervenir todo tipo de comunicaciones con ciberataques de cierta complejidad. Sirva como ejemplo el que ocurrió hace tres años contra la red informática de propósito general del Ministerio de Defensa, que muchos atribuyen a Rusia.
En toda esta opereta, como escribió en el fin de semana Jesús Cacho, lo que resulta lamentable es que los golpistas catalanes acusen sin pruebas, en una campaña orquestada, a los servicios de información de España de haber cometido un espionaje ilegal (sin presentar prueba ni denuncia alguna), y que el Gobierno, dando por buenas las acusaciones, recule avergonzado ante la posibilidad de que el CNI haya actuado legítimamente para proteger nuestra integridad constitucional.
Puede tratarse de un muy chusco intento de Sánchez de crear una cortina de humo para distraer a la opinión pública, aunque fuera a costa de la credibilidad del CNI, del escándalo montado por sus socios separatistas
¿Y el espionaje a los móviles de Sánchez y Robles? Los servicios españoles sabían sin duda de la penetración al móvil del Presidente y la Ministra desde hacía tiempo. En fechas no lejanas el Centro Criptológico Nacional del CNI envió un manual a los expertos de cada ministerio dando instrucciones sobre cómo intentar identificar la presencia de Pegasus. La razón de hacerlo público (cosa que ningún gobierno suele hacer), y hacerlo ahora, sólo puede atribuirse a un muy chusco intento de Sánchez de crear una cortina de humo para distraer a la opinión pública, aunque fuera a costa de la credibilidad del CNI, del escandalo montado por sus socios separatistas.
Finalmente, es importante recordar la responsabilidad de cada uno de los miembros del Gobierno, presidente, vicepresidentes, ministros, secretarios de Estado y jefes de Gabinete, que reciben terminales móviles oficiales que incorporan programas para comunicaciones seguras, de seguir los protocolos que protejan la integridad de la información que pueda afectar a la seguridad nacional. Si perseveran en no usar programas seguros, o en usar móviles personales, la protección de sus comunicaciones se convierte en casi imposible.
Si, como se ha mencionado, se llegaron a extraer 2,6 GB y 130 MB de datos, una cantidad enorme de mensajes, comunicaciones de voz, fotos o documentos, la situación de vulnerabilidad en la que coloca al presidente y la ministra es extraordinariamente preocupante. Debemos asumir que desde ese momento han podido ser objeto de extorsiones o acciones de influencia más o menos agresivas. Y será inevitable considerar que cualquier postura o decisión que tomen estarían expuestas a ser influenciadas por ello, en particular aquellas relacionadas con quien pudiera estar en posesión de esa información.